随着金融业网络化程度不断提升,个人信息安全保护被频频提及。而随着手机银行在银行业务办理中被使用的频率越来越多,银行App在用户信息采集的规范性尤为受到社会各界的关注。
据媒体近日报道,多家民营银行App首次打开即弹窗要求访问用户相关信息,一些银行在用户逐项拒绝后,仍可访问App主界面,但也有部分银行在用户不授权后即直接关闭App或无法使用App任何功能,下次打开时仍要求授权。
实际上,不仅是民营银行App,网信办日前对48款App违法违规收集使用个人信息的情况进行了点名通报,其中也包括招商银行(600036.SH)、平安银行(000001.SZ)等股份制银行。
《中国经营报》记者了解到,5月以来,随着国家互联网信息办公室等四部门联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“《规定》”)的正式实施,多家银行已开始结合最新的政策法规,对App进行调整优化。
有银行业人士告诉记者,在按照规定执行的情况下,不同银行由于业务范围不同,信息收集范围也存在差异。此外,银行作为受监管的金融股机构,在展业时,如何平衡好信息保护与配合监管防控风险方面还需要进一步实践。
信息收集标准与范围不统一
记者下载了多家银行App进行测试,以两家同类型银行为例,首次打A银行App时,提示读取通话状态和移动网络信息,如果用户选择“禁止”,则不可以使用该行App。
而首次登录B银行App的弹出提示为:是否允许该行访问客户设备上的照片、媒体内容和文件。如果选择“禁止”,则提示“手机存储权限获取失败,将导致手机App无法正常使用,请在手机权限设置中进行授权”。然后才提示类似A银行的是否允许该行获取设备信息,包括读取通话状态和移动网络信息。但如果用户选择“禁止”,则仍可以继续访问和使用该行App。
记者注意到,B银行个人客户隐私政策中显示,“当客户购买该行手机银行App上的除存款外的其他金融产品时,还将使用客户的住址、婚姻状况、职业、通讯方式、车辆、房屋、健康等信息,如果客户拒绝提供以上信息,则将无法使用上述功能”。而A银行却没有类似规定。
根据《规定》,手机银行类App,其基本功能服务为“通过手机等移动智能终端设备进行银行账户管理、信息查询、转账汇款等服务”,必要个人信息包括:注册用户移动电话号码、用户姓名、证件类型和号码、证件有效期限、证件影印件、银行卡号码、银行预留移动电话号码;转账时需提供收款人姓名、银行卡号码、开户银行信息。《规定》同时要求,App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。
此外,在国家互联网信息办公室的统筹指导下,工业和信息化部会同公安部、市场监管总局起草的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称“《征求意见稿》”)已于5月26日结束意见反馈。《征求意见稿》中明确提到,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限。
金融科技专家苏筱芮分析称:“《规定》是‘最小够用’原则的依据。银行信息授权标准不统一,一定程度上说明可能有银行业机构没有遵循‘最小够用’原则。”
“银行业机构及其合作伙伴应该从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理,例如采集前需征求用户同意,必要时应采取去标识化原则等,通过制度及流程的梳理来加强内部管控,遵循‘用户授权、最小够用、专事专用、全程防护’原则,对于其中的不规范信息管理行为及时纠偏。”苏筱芮表示。
何时进行信息采集是关键
记者了解到,随着《规定》的实施,以及《征求意见稿》结束意见征询,即将出台正式文件,银行业机构已经开始对手机App进行自查。
天津金城银行方面告诉记者:“根据《中华人民共和国个人信息保护法(草案)》、《App违法违规收集使用个人信息行为认定方法》等相关政策文件要求,我行客户端2020年已相继对个人金融信息保护的有关功能进行了优化和完善。目前,根据《规定》和《征求意见稿》,在个人信息保护方面,我行将继续做好相关功能的自查和优化完善工作。”
中关村银行方面表示:“面对当前网络金融诈骗和钓鱼事件频发的严峻形势,加强手机银行 App 等服务渠道的风险防控、保护用户信息和权益的安全性,是银行开展线上业务的底线。《规定》发布后,我行已严格按照规定对手机 App 进行了自查,在保证交易安全及用户信息安全、满足金融行业监管政策有关要求的前提下,合理收集和使用用户信息。”
某民营银行人士表示:“今年5月初,我行刚刚组织全行各部门(包括业务部门和管理部门)召开专题会,开始自查。”“在有银行App被点名之后,我们也会引以为戒,不断进行优化调整。”该人士坦言。
他进一步指出,“不仅仅是国家层面、监管层面,地方网信办也要求我们做备案,提交的信息包括有哪些App、都采集哪些信息,以及App下载网址等等。”
“银行作为强监管机构,真正因故意过度收集信息而被罚的情况并不多,主要是因为收集的时间不对而被罚。加之目前还没有明确规定约束银行App在什么时候收集哪些信息,所以有时需要银行自己去衡量,没有统一的标准就可能出现衡量不好的情况。” 该民营银行人士告诉记者。
在他看来,银行App信息收集要做好信息分类工作。“对必要功能的必要信息和非必要信息,非必要功能的必要信息和非必要信息等做好分类,分类做的合适,出问题的概率就会低一些。”
关于信息采集的时间,另一家民营银行管理层人士告诉记者:“隐私条款中应列出哪些业务银行会收集哪些对应的信息,只有在用户使用该业务时才会采集,而用户不授权信息采集只影响特定功能的使用,其他功能不该受限制。”
苏宁金融研究院金融科技研究中心主任孙扬表示:“业务发展要让步于合规,不需要采集的个人信息绝对不能碰,在App上只能提供银行机构被金融监管机构允许的业务,广告和产品陈述要符合金融监管规定,要有完备的金融消费者保护机制等。”
作为金融机构,银行除遵守信息采集的规范外,还应配合监管要求防控风险。而多位受访人士向记者提到,在信息收集时,例如反洗钱等政策要求或与一般规定有所冲突。
《规定》第二条显示,移动智能终端上运行的App存在收集用户个人信息行为的,应当遵守本规定。法律、行政法规、部门规章和规范性文件另有规定的,依照其规定。
此外,多位银行人士表示,用户隐私条款的设置不是一劳永逸的,需要不断根据业务发展及监管要求进行修订更新。